Cisco Network part 11 docx

Current configuration : 546 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname

Trang 1

Tác giả: Nguyễn Thị Băng Tâm

Chương 4 : CẤU HÌNH AAA TRÊN PIX

FIREWALL Bài Lab cấu hình AAA với PIX

Scenario :

Error!

Địa chỉ của các interface :

E1

209.162.1.1/24 172.16.1.2/24

Cấu hình toàn bộ :

Error!

Cấu hình của PIX :

Pix(config)# sh run

: Saved

:

PIX Version 6.2(2)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 intf2 security10

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname Pix

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

fixup protocol skinny 2000

Trang 2

names

pager lines 24

logging console debugging

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto shutdown

mtu outside 1500

mtu inside 1500

mtu intf2 1500

ip address outside 209.162.1.1 255.255.255.0

ip address inside 172.16.1.2 255.255.255.0

ip address intf2 127.0.0.1 255.255.255.255

ip audit info action alarm

ip audit attack action alarm

global (outside) 1 209.162.1.30

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0 209.162.1.2 1

no failover

failover timeout 0:00:00

failover poll 15

failover ip address outside 0.0.0.0

failover ip address inside 0.0.0.0

failover ip address intf2 0.0.0.0

pdm history enable

arp timeout 14400

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa-server ccsp protocol tacacs+

aaa-server ccsp (inside) host 172.16.1.1 pixfirewall timeout 10

aaa authentication telnet console ccsp

aaa authentication http console ccsp

aaa authentication enable console ccsp

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

Trang 3

aaa authentication include telnet inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

aaa authentication include tcp/49 inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

aaa authentication include tcp/49 outside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

aaa authorization include telnet inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

aaa authorization include 1/8 inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

auth-prompt prompt Please Authentication

auth-prompt accept Authentication successful

telnet 172.16.1.1 255.255.255.255 inside

telnet timeout 5

ssh timeout 5

terminal width 80

Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end

Error!

Cấu hình router :

2530#sh run

Building configuration

Current configuration : 546 bytes

version 12.1

no service single-slot-reload-enable

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname 2530

enable password cisco

ip subnet-zero

interface Ethernet0

ip address 209.162.1.2 255.255.255.0

Trang 4

interface Serial0

no ip address

shutdown

no fair-queue

interface Serial1

no ip address

shutdown

interface BRI0

no ip address

shutdown

ip classless

ip route 0.0.0.0 0.0.0.0 209.162.1.1

ip http server

line con 0

line aux 0

line vty 0 4

no login

end

Cấu hình từng bước :

1 Cấu hình security level cho các interface e0 và e1 Pix(config)#nameif ethernet0 outside security0

Pix(config)#nameif ethernet1 inside security100

2 cấu hình địa chỉ cho các interface trong PIX

Pix(config)#ip address outside 209.162.1.1 255.255.255.0 Pix(config)#ip address inside 172.16.1.2 255.255.255.0

3 Up 2 interface e0 và e1 lên :

Pix(config)#interface ethernet0 auto

Pix(config)#interface ethernet1 auto

4 Cấu hình tầm địa chỉ được nat ra ngoài :

PIX(config)# nat (inside) 1 0 0 0

PIX(config)# global (outside) 1 209.162.1.30

Global 209.162.1.30 will be Port Address Translated

5 Cấu hình định tuyến cho mạng inside ra outside : PIX(config)# route outside 0.0.0.0 0.0.0.0 209.162.1.1

6 Kiểm tra địa chỉ đã cấu hình :

Pix# sh ip add

System IP Addresses:

ip address outside 209.162.1.1 255.255.255.0

ip address inside 172.16.1.2 255.255.255.255.0

ip address intf2 127.0.0.1 255.255.255.255

Trang 5

Current IP Addresses:

ip address outside 209.162.1.1 255.255.255.0

ip address inside 172.16.1.2 255.255.255.0

ip address intf2 127.0.0.1 255.255.255.255

7 Cấu hình cho router 2530 :

router(config)# hostname 2530

2530(config)#enable password cisco

2530(config)#int e0

2530(config-if)#ip add 209.162.1.2 255.255.255.0

2530(config-if)#no shut

2530(config-if)#exit

2530(config)#ip http server ß Router đóng vai trò như

là web server

2530(config)#ip route 0.0.0.0 0.0.0.0 209.162.1.1

8 Thực hiện ping để kiểm tra kết nối :

Pix# ping 172.16.1.1

172.16.1.1 response received 0ms

Pix# ping 209.162.1.2

209.162.1.2 response received 0ms

9 Cấu hình để các mạng inside có thể ping thấy các mạng outside :

Pix(config)# static (inside,outside) 209.162.1.5 172.16.1.2 Pix(config)# conduit permit icmp any any

10 Trên PC mở command-prompt và thực hiện ping ra mạng ngoài , ta thấy ping thành công :

Error!

11 Cấu hình cho phép host ở mạng inside được phép telnet vào pix :

Pix(config)# telnet 172.16.1.1 255.255.255.255 inside

12 Bật tính năng AAA server trên PIX :

Pix(config)# aaa-server ccsp protocol tacacs+

Pix(config)# aaa-server ccsp (inside) host 172.16.1.1 pixfirewall

ð 172.16.1.1 chính là địa chỉ của AAA server , với key

mã hóa là pixfirewall Tạo ra một group tag được gọi là

Trang 6

0 0 ccsp

ð Cấu hình PIX yêu cầu cấp quyền cho tất cả các outbound traffic ICMP và telnet

Kiểm tra lại cấu hình :

PIX(config)# sh aaa autho

aaa authorization include telnet inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

aaa authorization include 1/8 inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ccsp

Thực hiện Ping và telnet :

Từ PC telnet vào router 2530 , tại command-prompt ta thấy telnet không thành công:

Error!

Từ PC ping router 2530 cũng không thành công :

Error!

Quan sát debug :

PIX(config)# 109001: Auth start for user '???' from 172.16.1.1/3719 to 209.162.1.2/23

109011: Authen Session Start: user 'aaauser', sid 9

109005: Authentication succeeded for user 'aaauser' from 172.16.1.1/3719 to 209.162.1.2/23 on interface inside

109008: Authorization denied for user 'aaauser' from

172.16.1.1/3719 to 209.162.1.2/23 on interface inside

109001: Authen start for user 'aaauser' from 172.16.1.1/0

to 209.162.1.2/0

109008: Authorization denied for user 'aaauser' from

172.16.1.1/0 to 209.162.1.2/0 on interface inside

Authorization bị từ chối là vì trên CSACS server ta chưa

có cấu hình cấp quyền cho user :

Trên CSACS :

- click vào Group Setup để mở Group Setup interface

- Chọn Default Group (1user) từ group drop-down

menu

- Kiểm tra rằng user thuộc về group đã được chọn

Click vào Users in Group để kiểm tra thông tin về user

như sau :

User : aaauser

Trang 7

Status : Enabled

Group : Default Group (1 user)

- Click vào Edit Settings , vào group setting , cấu hình

như hình sau :

Error!

Sau khi cấu hình authorization cho telnet traffic xong , click Submit để cấp quyền cho các traffic khác , mà cụ thể là ICMP traffic

Error!

- Click submit+restart để lưu cấu hình và restart lại CSACS

Kiểm tra telnet và ping lại như sau :

Từ PC telnet vào router sẽ thành công Quan sát debug : PIX(config)# 109001: Auth start for user 'aaauser' from 172.16.1.1/3791 to 209.162.1.2/23

109005: Authentication succeeded for user 'aaauser' from 172.16.1.1/3719 to 209.162.1.2/23 on interface inside

109007: Authorization permitted for user 'aaauser' from

172.16.1.1/3791 to 209.162.1.2/23 on interface inside

302013: Built outbound TCP connection 27 for outside:209.162.1.2/23 (209.162.1.2/23) to inside:172.16.1.1/3791 (209.162.1.5/3791) (aaauser)

Kiểm tra ping :

Error!

Quan sát debug :

109001: Auth start for user 'aaauser' from 172.16.1.1/0 to 209.162.1.2/0

109007: Authorization permitted for user 'aaauser' from

172.16.1.1/0 to 209.162.1.2/0 on interface inside

Bài Viết Về PIX FIREWALL

Định dạng
Số trang	7
Dung lượng	160,83 KB